From: fatih.ozavci@frontsite.com.tr
Date: Thu 08 Aug 2002 - 18:22:59 EEST
DNS zone transfer islemleri TCP protokolu ile gerceklesmektedir. Hocamin=20
yapmak istedigi islem icin TCP portununda acilmasi gerekmektedir..=20
-A input -s 1.2.3.4 53 -d 0/0 -p udp -j ACCEPT
Bu kural ile 1.2.3.4 makinesinden heryere gidecek olan DNS sorgularina=20
izin verilmis durumdadir. Eger Master makineye A slave makineye B dersek=20
ve firewall Master'da kurulu ise o zaman soyle verilecek kurallar sorunu=20
cozecektir.. (IPTABLES)
-A INPUT -p tcp -s B -d A --dport 53 -j ACCEPT
-A INPUT -p udp -s B -d A --port 53 -j ACCEPT
-A OUTPUT -p udp -s A -d B --dport 53 -j ACCEPT
kisaca slave makinenin master makineye hem tcp hemde udp islemleri bu=20
kural ile saglanir.. eger firewall arada bir yerde ve 3. bir makine ise bu =
durumda zincirin ismi INPUT/OUTPUT degil FORWARD olacaktir, aksi taktirde=20
kurallar islemeyecektir...=20
kuralda bir dikkat edilmesi gereken bolumde, TCP'inin 3 yollu el sikisma=20
ile calistigi ve bir oturum durumu oldugudur.. UDP'de bu sekilde bir=20
oturum soz konusu degildir ve paketler oturum olmadan gonderillirler... bu =
yuzden udp icin 2 kural olmalidir, tcp icin 1 kural ve oturum takibi=20
yapilmasi yeterlidir..
Iyi Calismalar...=20
Fatih Ozavci
Security Analyst
Frontsite Bilgi Teknolojisi A.S.
http://www.siyahsapka.com
http://www.frontsite.com.tr
G=FCrkan KARABATAK <gkarabatak@firat.edu.tr>
Sent by: linux-network-bounce@linux.org.tr
08/08/02 03:03 PM
Please respond to linux-network
=20
To: <linux-network@linux.org.tr>
cc:=20
Subject: [linux-network] Re: basit bir IPtables sorusu
Mustafa Hocam bildigim kadariyla DNS zone transfer olayida yine udp 53
portuyla yapiliyor. Yani bu makinadaki portlari a=E7mis olmaniz zone
transferinide yapmanizi saglayacaktir. Su satirida eklemeniz sizin i=E7in
faydali olacaktir.
-A input -s 0/0 53 -d 1.2.3.4 -p udp -j ACCEPT
veya iptables la
-A INPUT -s 0/0 -d 1.2.3.4 -p udp --sport 53 -j ACCEPT
Bu sayede herhangi bir dns serverdan (muhtemelen master). Size 53=20
portundan
gelecek transfer isteklerini veya DNS cevaplarini kabul etmis olacaksiniz.
----- Original Message -----
From: "Mustafa Akgul" <akgul@Bilkent.EDU.TR>
To: <linux-guvenlik@linux.org.tr>; <linux-network@linux.org.tr>
Sent: Thursday, August 08, 2002 12:25 PM
Subject: [linux-network] basit bir IPtables sorusu
>
>
> Merhabalar,
>
> ipchains/tables ile posrtlari korunan bir makinada
>
> -A input -s 1.2.3.4 53 -d 0/0 -p udp -j ACCEPT
>
> ile bu makinlardan sorgulama ve oradaki bir master'in slaveini tasimayi
> sagliyabiliyorum.
>
> ama bu makindaki bir master'in 1.2.3.4 te slave iolmasi icin zone
transferine
> nasil izin verebilirim?
>
> Howto'ya bkma sansim olmadi da.
>
> Tesekkurler
> Mustafa Akgul
>
>
>